Ende letzten Jahres haben Joost de Valk und Karim Marucchi abgestimmt je einen Blogbeitrag veröffentlicht, in dem sie ihre Sorge um das WordPress-Projekt zum Ausdruck bringen. Unter anderem richten sie den Blick auf das zentrale Plugin-Verzeichnis auf WordPress.org, zu dem im Herbst 2024 der Zugriff für Kund*innen von WP Engine eingeschränkt hat. Anlass dafür war der Rechtsstreit zwischen WordPress-Mitgründer Matt Mullenweg und WP Engine, denn das Plugin gehört zu WP Engine.
Dezentrale Infrastruktur mit FAIR
An diesem Beispiel wird deutlich, dass eine zentrale Infrastruktur zum Hosten der Plugins, die aus dem WordPress-Backend heraus installiert werden können, aber auch von WordPress-Updates und anderen Services keine gute Idee ist. Daher hat Joost in seinem Beitrag »Breaking the Status Quo« das Konzept von Federated And Independent Repositories (FAIR) vorgestellt, bei dem theoretisch jede*r eine eigene Instanz der WordPress.org-Infrasturktur hosten kann. Diese Repositorys können aber auch untereinander kommunizieren, um beispielsweise Installations-Zahlen auszutauschen. Karim hat in seinem Beitrag »Breaking the Status Quo: A Vision For a New WordPress Business Roadmap« dazu noch die Idee eingebracht, dass auch Plugins aus anderen Quellen als dem WordPress.org-Repo in diesen FAIR gehostet werden können.
Nach einigen Monaten Arbeit von über 200 Menschen und von Unternehmen aus dem WordPress-Ökosystem wurde auf dem Alt Ctrl Org Event die erste Version von FAIR vorgestellt. Das Projekt soll ein Ersatz für die WordPress.org-Infrastruktur sein, um diesen zentralen Teil kritischer Infrastruktur dem Zugriff einer einzelnen Person oder Organisation zu vermeiden.
Nicht nur ein Mirror des WordPress.org-Repos
Der für die Anwendung wichtige Aspekt von FAIR besteht aus zwei Teilen: einem Plugin, mit dem die Quelle für Plugin-Installationen einer WordPress-Instanz ausgetauscht werden kann, und einer Server-Lösung, mit der ein Plugin-Repository gehostet werden kann. Das Plugin-Repository spiegelt standardmäßig die Plugins von WordPress.org, und kann um weitere Quellen erweitert werden. So ist es zum Beispiel möglich, Kauf-Plugins mit in ein Verzeichnis aufzunehmen. Das Spiegeln der WordPress.org-Plugins kann auch deaktiviert oder die Auswahl eingeschränkt werden, um etwa nur Plugins zur Installation anzubieten, die eine bestimmte PHP-Version unterstützen.
Des Weiteren wäre beispielsweise denkbar, dass ein Unternehmen, das Managed Hosting von WordPress anbietet, nicht sicherheitsrelevante Plugin-Updates vor der Auslieferung an seine Kund*innen erst testet. Darüber hinaus bietet das Plugin Datenschutzvorteile gegenüber der Update-Lösung im WordPress Core, da keine unnötigen Requests von WordPress-Admin-Usern an die Update-Server gemacht werden, und auch im Bereich Sicherheit gibt es Verbesserungen gegenüber der WordPress.org-Infrastruktur.
All diese Punkte könnten das Projekt sehr interessant etwa für Hosting-Unternehmen machen, die teilweise nach den Vorfällen der letzten Zeit bereits angefangen haben, eigene Mirror für das WordPress.org-Repo aufzubauen.
Governance bei FAIR: durch die Linux-Foundation geregelt
Der wichtigste Teil des Projekts ist aber wohl das Thema Governance, also wie das Projekt geleitet wird. Es sollte natürlich nicht so laufen, wie es aktuell (noch 🤞🏻) beim WordPress-Projekt der Fall ist, dass es eine Person gibt, die letztlich alles entscheiden kann. Da der Aufbau von Governance ein komplexes Thema ist, wurde entschieden, das Projekt unter dem Dach der Linux-Foundation zu platzieren. Dadurch profitiert es von den gewachsenen und erprobten Strukturen und Abläufen der Linux-Foundation, so gibt es ein von der Community ernanntes Gremium zur Leitung des Projekts, ein Technical Steering Committee (TSC). Die ersten drei Co-Vorsitzenden des TSC sind der Erfinder der WordPress-REST-API Ryan McCue, die langjährige Plugin-Verantwortliche Mika Epstein und die, in der Community hoch angesehene Carrie Dils.
Joost und Karim sehen die Lösung nicht als heiligen Gral, der alle Probleme mit der Governance des WordPress-Projekts regelt. Aber als Schritt in die richtige Richtung und als Beispiel, wie es gelingen könnte. Es soll auch kein Wettbewerb sein, sondern bestenfalls alle mitnehmen, inklusive Automattic und WP Engine. Im Idealfall, so Joost, steht am Ende eine Integration in den WordPress Core.
Unter fair.pm wird es später eine Website geben, aktuell leitet sie auf die GitHub-Organisation des Projekts weiter, in der die Repositorys mit dem Code des Projekts zu finden sind, und Simon hat sich im Rahmen des WordCamp Europe mit Joost und Karim über das FAIR-Projekt für den englischsprachigen KrautPress-Podcast unterhalten.
Auf GitHub gibt es im Moment Repositories für das FAIR-Protokoll, das FAIR-Plugin, das mini-FAIR-repo und einen Fork des WP Planet.